有什么理由允许 SMB 通过互联网?

有什么理由允许 SMB 通过互联网?

我是一家托管公司的管理员,主要处理 Linux 机器,尽管我们也有很多使用 Windows 服务器的客户。

就我的能力而言,我只在本地局域网上使用过 SMB 作为文件/打印服务器。

有什么理由让 SMB 保持开放?我还没有听说有任何实际理由将其暴露在互联网上,是否有我不知道的 Windows 功能需要这样做?

答案1

SMB 是一种文件共享协议,因此,它有时会向互联网开放,以便共享文件。

然而,这是一个非常糟糕的想法。与 FTP 或 WebDAV 等简单协议相比,SMB 是一种更为复杂的协议,深度集成到核心 Windows 服务中,而 FTP 或 WebDAV 等简单协议基本上具有非常小的 GET/PUT 接口,并且完全在隔离的用户空间进程中实现。

SMB 的性质更为复杂(至少在版本 2 之前,其安全性/完整性都非常低),这意味着许多关键缺陷都被利用了,而它与 Windows 的紧密集成意味着这些漏洞非常危险的。

所以不行,不要向互联网开放 SMB

答案2

不要这么做。如果有人要求你这么做,我强烈建议你拒绝,然后迅速逃跑。

从技术上讲,您可以通过 VPN 提供此类服务,但如果距离超过 WAN,其性能几乎肯定会非常糟糕。

您可以提供更优质的服务来实现远程和本地文件共享。考虑使用 Amazon Storage Gateway 或 Google Storage。这些解决方案允许将云存储帐户附加到内部文件服务器,从而实现可在任何人需要时同步的混合存储云。它快速而安全,远程用户无需访问您的文件服务器即可获取远程文件,而内部用户无需访问您的 WAN 管道即可获取相同的文件。这些解决方案减轻了您作为管理员的负担,并将其放入无论如何都可以处理负载的云中。

答案3

不。将最少数量的端口暴露给互联网。如果您需要使用 SMB 来做某事(与受信任的另一方传输文件,并对每个操作进行身份验证和时间戳),则在建立 SMB 连接之前为他们设置一个 VPN 以供连接。

答案4

有什么理由吗?这个就留给你决定吧。

  1. 可以做到。打开端口 445 并配置 SMB,您就可以通过互联网访问共享文件夹,就像通过本地网络访问一样。

  2. 速度会非常慢,因为该协议不是设计用于这样的环境的。

  3. 存在已知的安全风险。IP 限制可能会有所帮助。

相关内容